アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

RegDog085

ということで?昨日書いていたレジストリキーに対応していただいたバージョンがリリースされています。

http://d.hatena.ne.jp/mark-of-distinction/20091008/1254993730

主にはNetworkList\Profilesキーとへの対応と、NetworkList\Nla\Cacheキーの読み取りと時刻表示への対応になるかと思います。時刻表示のところで、キーの時刻をGUIで設定した値で出力してくれるのですが、個別の値として時刻を持っている部分が今だとまちまちな感じなので設定で統一できると嬉しい旨をコメント中。*1
実際に Windows Vista の SOFTWARE キーに対して実行した結果が以下のようになります。IPアドレスとか適当に変更しているので整合性がとれてない箇所もありますが、雰囲気を見ていただければよいかと。

                                                                                                                      • -

Launching NetworkListProfiles plugin v.20091009
(Vista/7用)NetworkListのProfilesの各情報
Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles

GUID毎の情報は以下の通り
{6B76F68B-C7C3-49F0-858A-D18B180F4479}
ProfileName => ネットワーク
Description => ネットワーク
DateCreated => 2009/09/02 13:58:36
DateLastConnected => 2009/09/15 19:45:45
{D60C69C7-D83A-412B-A225-4DCCED515086}
ProfileName => ネットワーク 2
Description => ネットワーク
DateCreated => 2009/09/16 11:14:27
DateLastConnected => 2009/10/08 11:03:07

                                                                                                                      • -

Launching NetworkListNlaCache plugin v.20091009
Vista/7用)NetworkListの接続種類/ドメイン毎の更新日付
Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache

Intranet
localdomain => 2009/09/15 19:45:45
IntranetAuth
2.4.fe80::d0e0:4c5d:ea41:dd47%10 1.1.172.17.10.60 => 2009/09/16 11:26:16

                                                                                                                      • -

コメントやメッセージが徐々に日本語になってきているので、英語圏の人は使いにくくなくなってきいるかもしれませんが、まぁ別に困らないか。
いっそキーのヒントというか内容も日本語でメッセージ書いて、“ヒント付きで出力”とかのオプションを作って、それがチェックされている時には、メッセージを出力結果レポートに入れておくといいのかもしれませんね。毎回このキーはなんだったけ?と Google で調べるのも面倒だし。
と思ったけど、どっかのWebに説明ページだけ置いておいて、リンククリックすればそっちを表示するほうが、メッセージの修正とかが簡単か...繋がってない場合にはリンクがまったく意味ないけど。

レポートが UTF-16LE で出力されるのはいいんですが、秀丸でレポートを開いた時に、毎回エンコードを聞かれるのが面倒なので、レポートファイルの先頭に BOM を入れておいてはどうかと思う今日この頃。

*1:またもや単に文句をつけているだけという噂がありますが